Bitte mal drüberschauen

ketch · 23.01.2006, 12:36

Hallo liebe Leute,

könntet ihr bitte mal einen Blick über meine Logfiles werfen?
Escan sagt nämlich, dass sich irgendwo Viren befinden, die aber alle anderen Scanner nicht finden...
wie krieg ich diesen Trojaner aus meinem Postkasten?
Komisch kommt mir in dem Escan-Log auch diese Bemerkung unter den Temp-Dateien vor, denn da hab ich alles rausgelöscht...

danke schonmal,
liebe Grüße
ketch

Logfile of HijackThis v1.99.1
Scan saved at 12:24:26, on 23.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\ANTIVIR\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:48:25 2006 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Sat Jan 14 19:55:24 2006 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\pqttvkf8.default\Mail\Local Folders\Inbox infected by "Trojan-Downloader.Win32.Agent.zm" Virus! Action Taken: No Action Taken.
Sat Jan 14 19:55:25 2006 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\pqttvkf8.default\Mail\Local Folders\Junk infected by "Trojan-Spy.HTML.Bankfraud.li" Virus! Action Taken: No Action Taken.
Sat Jan 14 19:55:46 2006 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\pqttvkf8.default\Mail\Local Folders\Trash infected by "Trojan-Downloader.Win32.Agent.zm" Virus! Action Taken: No Action Taken.
Sat Jan 14 19:59:13 2006 => Scanning Folder: C:\Programme\AntiVir\INFECTED\*.*
Sat Jan 14 21:00:52 2006 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 28 10:17:15 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\insthelp.dll
Wed Nov 30 18:34:29 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\416jsxir\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\9s2u4nfg\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\aitszcro\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\h0skudwx\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\416jsxir\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\9s2u4nfg\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\aitszcro\common[1].js
Wed Nov 30 18:34:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\h0skudwx\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\416jsxir\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\9s2u4nfg\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\aitszcro\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\h0skudwx\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\416jsxir\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\9s2u4nfg\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\aitszcro\common[1].js
Sat Jan 14 19:48:25 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\h0skudwx\common[1].js
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jan 14 21:00:52 2006 => Total Virus(es) Found: 11
Sat Jan 14 21:00:52 2006 => Total Errors: 24
Sat Jan 14 21:00:52 2006 => Time Elapsed: 01:13:29
Sat Jan 14 21:00:52 2006 => Total Objects Scanned: 64152
Sat Jan 14 19:47:08 2006 => Virus Database Date: 2006/01/14
Sat Jan 14 21:00:52 2006 => Virus Database Date: 2006/01/14
Sat Jan 14 21:03:46 2006 => Virus Database Date: 2006/01/14
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

hoerni26 · 23.01.2006, 12:40

hallo,

also wenn dieser eintrag hier:

Trojan-Downloader.Win32.Agent.zm"

das ist was ich vermute ist wohl die sichereste lösung dein system neuaufzusetzen..
aber ich weiss nicht ob der trojaner backdoor funktion besitzt??

Bitte mal drüberschauen

Log-Analyse und Auswertung: Bitte mal drüberschauen

Bitte mal drüberschauen

Bitte mal drüberschauen

Ähnliche Themen: Bitte mal drüberschauen

23.01.2006, 12:40	#2
hoerni26	Bitte mal drüberschauen hallo, also wenn dieser eintrag hier: Trojan-Downloader.Win32.Agent.zm" das ist was ich vermute ist wohl die sichereste lösung dein system neuaufzusetzen.. aber ich weiss nicht ob der trojaner backdoor funktion besitzt?? __________________ __________________